Web渗透概述

Web渗透概述

Web应用渗透技术

特点
  • 广泛性: Web应用几乎无处不在
  • 技术门槛低: Web技术简单易懂,进入的技术门槛低
  • 防火墙可绕过性: 几乎所有传统防火墙策略都会放行入方向的HTTP/HTTPS流量
  • 安全机制不够成熟: HTTP的认证和授权技术相对滞后
  • 隐蔽性: 攻击追溯和取证工作比较困难
  • 变化性: Web应用的调整对于一个业务经常变化的公司很常见
  • 利益性: 通过Web攻击犯罪利润丰厚
OWASP Web漏洞TOP 10

中文站点:2021 OWASP TOP 10 — OWASP-CHINA

mapping

WEB基本概念

w3school 在线教程

Web服务系统

  • Windows
  • Linux

Web服务软件

  • IIS - Windows自带,主要支持ASP, ASP.NET, 安装插件后可以支持PHP
  • Apache - 最流行,主要部署在Linux上,默认只支持静态网站 ,可通过中间件支持PHP、ASP、ASP.NET、JSP网站发布
  • Nginx - 轻量级,资源消耗少、高并发,性能更强,大型网站使用,主要运行在Linux上,默认只能发布静态网站,可以通过中间件支持动态网站
  • Tomcat - 轻量级,中小型系统使用,JSP首选,可以运行在Windows和Linux上
  • Weblogic - 基于JAVEEE的中间件

Web开发语言

  • PHP - 目前是使用最广泛的Web开发语言
  • ASP - 小型页面应用程序的选择,一般不用于大中型网站,逐步淘汰
  • ASP.NET - 一般多见于政府机构和国企网站
  • JSP - 跨平台,大型国企站点、银行、金融站点
  • CMS(内容管理系统)- 可以使用多种语言编写,常见有动易CMS,织梦CMS,PHPcms等

数据库

  • MySQL - 目前广泛应用于Web架构的程序,常见搭配PHP使用
  • SQL Server - 常见搭配ASP.Net使用
  • Oracle - 常见搭配JSP使用
  • Access - 小型

Web服务常见架构

  • LAMP
    • Linux+Apache+MySQL+PHP
    • 适用于大型网站架构,稳定性高,常见于企业网站,大多数网站都采用的该架构
  • LNMP
    • Linux+Nginx+MySQL+PHP
    • 对性能有较高要求的Web站点可以选择这种架构组合
  • WAMP
    • Windows+Apache+MySQL+PHP
    • 适用于中小型网站架构,易于管理,常见于教育(大学等)、政府事业单位
  • 其它
    • IIS+ASP+Access: 大多用在学校、地方政府等站点
    • JSP+Tomcat+Oracle:大多用在企业内部ERP系统、金融机构站点
  • HTTP请求方式 HTTP 请求方法 | 菜鸟教程 (runoob.com)
    • GET - 常用 - 向目标网页发送访问请求,请求中携带的信息会附加在URL中传输
    • POST - 常用 - 向目标网页发送访问请求,请求中携带的信息会封装在数据包中传输
    • HEAD - 对HEAD请求,服务器只发送一个相应结果,不发送任何页面数据
    • PUT - 允许用户更新网页数据内容
    • DELETE - 允许用户删除页面内容
    • OPTION - 允许用户查看服务器配置参数
    • CONNECT - 允许用户使用代理服务
    • TRACE - 允许用户获取服务器对请求进行的操作步骤
    • PATCH
posted @ 2023-10-06 14:32  晨风_Eric  阅读(107)  评论(0编辑  收藏  举报